sec-audit

🛡️ OpenClaw 安全审计与漏洞检测

OpenClaw 安全审计工具,支持15项漏洞检测与恶意扫描,只读模式零风险,获BSS A级认证,助您全面排查配置隐患。

收藏
16.2k
安装
3.5k
版本
v1.0.0
CLS 安全性认证2026-06-03
点击查看完整报告 >

使用说明

OpenClaw Security Audit Skill 是一款专为 OpenClaw/ClawDBot 部署环境设计的专业安全配置审计工具,由 Security Team 开发并维护。该工具通过 15 项精细化检测模块,为系统管理员提供全方位的安全基线检查能力,涵盖从环境变量泄露、明文凭据存储到恶意技能扫描等多个维度的安全隐患识别。

核心用法

用户可通过简单的命令行接口运行安全审计。基础命令 node tools/security-audit.js 即可启动完整检测,支持通过 --format json --output audit-report.json 参数生成结构化 JSON 报告,便于后续自动化处理。此外,工具提供模块化检测能力,使用 --module env,auth,skills,ioc 可针对特定风险领域进行精准扫描,灵活适应不同场景需求。所有检测均在本地完成,结果按 CRITICAL、HIGH、MEDIUM、LOW 四级风险分级展示。

显著优点

该 Skill 的最大优势在于其全面性与安全性的完美结合。检测覆盖范围极广,包括环境变量泄露(SYS-002)、网关认证配置(SYS-006)、沙箱配置(ECO-009)、速率限制(SYS-007)以及 ClawHavoc 恶意技能扫描等 15 个关键安全域。作为纯只读工具,它严格遵循"检测不修复"原则,绝不修改任何系统配置,从根本上杜绝了误操作风险。技术实现上,工具零外部依赖,仅使用 Node.js 内置模块,且对敏感环境变量实施脱敏处理(显示前 4 字符后隐藏),确保审计数据不会外泄。BSS 安全认证 A 级评级进一步验证了其代码质量与可靠性。

潜在缺点与局限性

尽管功能强大,但该工具仍存在一定局限。首先,作者来源为 T3 级社区/个人账号(nx4dm1n),虽经 BSS 认证代码安全,但缺乏官方组织背书,长期维护稳定性有待观察。其次,工具专为 OpenClaw/ClawDBot 生态设计,检测项高度定制化,无法直接迁移至其他平台使用。功能上,它仅提供检测能力而不具备自动修复功能,用户需根据报告手动处理漏洞。此外,运行时需要较高的系统权限(文件系统读取和命令执行),在某些高安全等级环境中可能受限。

适合的目标群体

本 Skill 主要面向 OpenClaw 平台的管理员、DevSecOps 工程师、安全运维人员以及企业合规审计团队。适用于生产环境上线前的安全基线检查、定期安全巡检、以及应对 ClawHavoc 等特定威胁的 IOC 指标检测场景。对于需要满足安全合规要求的企业用户,该工具提供了标准化的检测框架和可追溯的审计报告。

使用风险

使用该技能的主要风险集中在权限需求和执行机制上。工具使用 execSync 执行系统命令(如 netstat、ps、crontab 等)以获取网络和进程信息,虽已通过 safeExec 函数封装(设置 5 秒超时和错误处理),且命令均为硬编码无注入风险,但仍建议仅在受控环境中运行。文件扫描设置了最大深度(5 层)和数量限制(500 文件),在极端大型项目中可能无法完全覆盖。此外,作为社区来源工具,建议用户在测试环境充分验证后再部署至生产环境,并确保审计结果仅由授权人员查看。

安全解读

核心功能

OpenClaw Security Audit Skill 是一款专为 OpenClaw/ClawDBot 生态设计的本地安全审计工具。它通过 10 个模块化检测引擎,覆盖从环境变量泄露、明文凭据存储到恶意 Skill 扫描、IOC 指标检测等 15+ 项安全检查点。核心能力包括:

  • 配置审计:检测网关认证、绑定地址、沙箱启用、速率限制等安全配置
  • 威胁扫描:比对 ClawHavoc 恶意名单,检测已知攻击者、恶意 IP/域名/文件哈希
  • 内容安全:扫描 SKILL.md 中的 Base64 编码命令和可疑指令
  • 通信安全:验证 WebSocket 加密、进程隔离、审计日志等

显著优势

1. 零外部依赖:仅使用 Node.js 内置模块,无供应链攻击风险
2. 纯只读设计:不修改任何系统配置,检测行为可预测

3. 模块化执行:支持按需运行特定检测模块,灵活高效

4. 分级报告:CRITICAL/HIGH/MEDIUM/LOW 四级风险评级,优先清晰

5. 来源可信:由 OpenClaw Security Team 维护,T2 级可信组织认证

潜在局限

  • 环境敏感性:需读取 process.env 和敏感路径(~/.ssh、~/.aws 等),可能触发安全软件告警
  • 名单时效性:恶意 Skill 名单和 IOC 指标需定期手动更新
  • 本地执行限制:依赖系统命令(netstat、ss、nslookup 等),跨平台兼容性受限
  • 无自动修复:仅检测不修复,需用户手动跟进

适合人群

  • OpenClaw/ClawDBot 部署管理员
  • 企业安全运维团队
  • 需定期合规审计的 DevSecOps 工程师

常规风险

代码使用 child_process.execSync 执行系统命令并遍历环境变量,虽均为审计必需功能,但建议在沙箱环境运行以最小化攻击面。审计报告含系统配置信息,需妥善保管。

sec-audit 内容

tools文件夹
手动下载zip · 14.4 kB
security-audit.jstext/javascript
请选择文件